今天借着这道web题顺便学会了利用burpsuite进行爆破
先摆题目
打开题目环境,发现是一个工程管理系统,根据题目找到报表中心,点进去
好像没什么收获,F12看一下,发现id =1,试了一下id=2,3,4……都没用,好尴尬。。既然人工不行,那就只能用工具爆破了。。。
百度了一下怎么爆破,发现可以用burpsuite进行爆破,burpsuite还真的是很香呢Orz
想爆破,得有字典,我用的0~5000,用Python脚本跑出来的直接粘进去
start attack
发现当id=2333时,length不同,这应该就是问题所在,点开下面response,最下面就有flag
这题暂时就这么草率的结束了。。不过还是学到了一点东西